Kimsuky APT攻撃の検出：北朝鮮のハッカーがTRANSLATEXT Chrome拡張機能を悪用して機密データを窃取

北朝鮮に関連する悪名高い脅威アクターとして知られる Kimsuky APTグループ は、サイバー諜報活動により敏感なユーザーデータを不正に収集するための新しい悪意のあるGoogle Chrome拡張機能「TRANSLATEXT」を使用しています。この観測された継続的なキャンペーンは、2024年初春に始まり、主に韓国の学術機関を標的にしています。

TRANSLATEXTを活用するKimsukyキャンペーンを検出

地政学的緊張の高まりに伴いAPT脅威が増加しているため、セキュリティプロフェッショナルは、新世代のツールを使用して高度な脅威検出とハンティングを行い、潜在的な攻撃に備えるべきです。

SOC Prime Platformを利用してAPTに関連する疑わしい活動を積極的に特定し、最新のサイバー諜報活動キャンペーンを含む Kimsuky がTRANSLATEXT拡張機能を悪用して機密データにアクセスしようとしているケースを調査します。以下に、我々の優秀なThreat Bounty開発者 Sittikorn Sangrattanapitakが作成した、悪性のChrome拡張機能のインストールを検査するための専用Sigmaルールを紹介します。

Kimsuky TRANSLATEXTによる可能な韓国の標的コマンド検出（cmdline経由）

このルールは27のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、検出は脅威調査を効率化するために関連するメタデータやCTIリファレンスで強化されています。

Kimsuky APTに関連するさらなる検出コンテンツを求めるセキュリティプロフェッショナルは、Threat Detection Marketplaceで集約された広範なSigmaルールスタックにアクセスできます。以下の Explore Detection ボタンを押して、ルールコレクションにすぐにアクセスし、新しい検出が毎日追加されています。

検出を探索する

あなたが経験豊富なThreatハンター、DFIR専門家、Sigmaルールスペシャリスト、または共同の善に貢献しようとするSOCアナリストなら、SOC Primeの世界初の 検出エンジニアリングのクラウドソーシングイニシアチブに参加できます。個人的な才能を発揮し、検出エンジニアリングと脅威ハンティングのスキルを向上させ、技術の専門知識を広げ、貢献に対して経済的利益を得るために Threat Bounty Program メンバーになりましょう。

TRANSLATEXT Chrome拡張機能を使用するKimsukyに関連する攻撃分析

2024年初春から、Zscaler ThreatLabzは 進行中の攻撃活動 を監視しており、北朝鮮に関連する政治研究に焦点を当てた、韓国の学術産業セクターを標的とするKimsuky APTグループに関連しています。 Kimsuky、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、またはTA406として追跡されている北朝鮮を拠点とするハッキンググループは、過去10年以上にわたり、韓国のエンティティを対象としたサイバー諜報活動や金銭目的の攻撃で悪名高いです。この最新のキャンペーンでは、Google Translateとして偽装された有害なGoogle Chromeアドオン「TRANSLATEXT」を利用して、電子メールアドレス、資格情報、クッキーを収集し、ウェブブラウザからブラウザのスクリーンショットをキャプチャします。

2024年3月の第1週に、Kimsukyは自らの管理下にあるGitHubリポジトリにTRANSLATEXTをアップロードしました。この拡張機能は、主要メールプロバイダーのセキュリティ対策を回避して、機密情報を抽出します。

攻撃の流れは、韓国軍事史データを含むように偽装されたZIPアーカイブから始まります。このアーカイブには、Hangul Word Processor形式の文書ファイルと実行可能ファイルが含まれています。実行可能ファイルを実行すると、パワーシェルスクリプトが敵対者サーバーからダウンロードされます。後者は、GitHubリポジトリに脆弱な被害者の情報を送信し、さらなるパワーシェルコードをLNKファイルを使ってダウンロードします。

最新のKimsukyキャンペーン関連のリスクを軽減するために、信頼できないソースからのプログラムのインストールを避けることを推奨します。これはサイバーの警戒を保ち、潜在的なデータ侵害を防ぐために必要です。今後の脅威に先んじ、 SOC Primeの完全な製品スイート を活用して、サイバーセキュリティの体制を将来にわたって強化しましょう。AI駆動の検出エンジニアリング、自動化された脅威ハンティング、および検出スタックの検証のために。